SAMBA ha publicado una vulnerabilidad que permite deshabilitar la firma del cliente sobre SMB2/3 mediante un ataque "man in the middle", catalogada de importancia: 4 - Alta
Recursos afectados
- Todas las versiones de SAMBA
entre la 4.0.0 y la 4.4.4.
Detalle e impacto de la vulnerabilidad
·
Un
atacante puede rebajar la firma requerida para una conexión SMB2/3 del cliente,
mediante la inyección de los flags SMB2_SESSION_FLAG_IS_GUEST or
SMB2_SESSION_FLAG_IS_NULL.
·
Mediante
esta técnica, un atacante puede hacerse pasar por un servidor conectado a
través de Samba y devolver contenido malicioso.
Recomendación
- Aplicar los parches
disponibles en https://www.samba.org/samba/security
Mitigación:
- Configurar "client ipc
max protocol = NT1".
- Si "client signing"
esta configurado a "mandatory"/"required", habría que
quitar la comfiguracion explicita de "client max protocol", que
por defecto esta "NT1".
- Estos cambios deben ser
revertidos una vez que se aplican los parches de seguridad.
Más información
- Client
side SMB2/3 required signing can be downgraded https://www.samba.org/samba/security/CVE-2016-2119.html
